La NSA ne lésine pas sur les moyens pour avoir accès à toutes les communications, même chiffrées. Dans ce dernier cas de figure, l'agence de renseignement n'hésite pas à participer à l'élaboration des standards de chiffrement afin de les altérer.

Le renseignement étant la raison d'être de la NSA, l'agence gouvernementale américaine mobilise toutes ses forces pour collecter et analyser un maximum de données. Au début du mois, de nouveaux documents publiés par la presse anglo-saxonne donnaient un aperçu des moyens mis en œuvre par l'organisation pour récupérer et exploiter les communications chiffrées.

Les méthodes sont variées : elles vont des supercalculateurs pour casser les algorithmes par force brute à l'installation de mouchards dans l'ordinateur afin d'accéder aux données déchiffrées. La NSA joue aussi de son influence, soit pour amener les entreprises high tech à aménager des portes dérobées dans les logiciels, soit pour orienter la conception des protocoles de cryptographie.

Cette dernière tactique a été employée dans le cas du générateur de nombres pseudo-aléatoires Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator). À la lecture des documents publiés par le New York Times, il apparaît que la NSA s'est chargée entièrement de la conception de cet algorithme, contrairement aux affirmations de l'institut national des normes et de la technologie (NIST).

Outre le fait que la NSA a été la seule partie à travailler sur le Dual_EC_DRBG, l'agence de renseignement a pesé sur le NIST pour l'amener en 2006 à élever cet algorithme au rang de standard de chiffrement. Dès lors, il est vraisemblable que la NSA a fait en sorte de pouvoir prédire les nombres générés aléatoirement, afin d'avoir ensuite la capacité de contourner le chiffrement le moment venu.

Les éléments relayés par le New York Times ont conduit le NIST à publier un communiqué pour les tempérer.  Le processus d'élaboration des normes cryptographiques au NIST est "public" et "transparent" et que cette méthodologie est toujours d'actualité. L'organisme de normalisation a également assuré qu'il "n'a pas délibérément affaibli un standard cryptographique".

Le NIST a également reconnu que la NSA participe régulièrement à l'élaboration de nouveaux algorithmes et qu'il n'y a pas de raison d'écarter l'agence au regard de son expertise en la matière. De toute façon, l'institut n'a guère le choix : ses statuts lui imposent de consulter l'agence.

Soucieux de calmer le jeu, et malgré les critiques pointant la lenteur de l'algorithme, le NIST a rouvert la consultation publique de la version A et des brouillons B et C du standard Dual_EC_DRBG. Le NIST invite toute personne compétente à participer à leur élaboration et à signaler la moindre vulnérabilité.

( photo : NIST )


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !